placeholder

EU-Richtlinie tritt am 17. Oktober in Kraft

So setzen Unternehmen NIS-2 zuverlässig um

2. Oktober 2024

Am 17. Oktober tritt die EU-Richtline NIS-2 in Kraft. Ihr Ziel ist es, dass sich gesellschaftlich relevante Organisationen resilienter gegen Cyberangriffe aufstellen. Doch welche Maßnahmen müssen Firmen implementieren? Diese Checkliste bringt es auf den Punkt.

Bis Oktober 2024 müssen die EU-Mitgliedsstaaten NIS-2 in nationales Recht umsetzen. – Bild: ©Konsta/stock.adobe.com

Nur wenige Anforderungen von NIS-2 sind grundlegend neu. Zu den Neuerungen gehört vor allem zweierlei: Ab Mitte Oktober 2024 müssen Unternehmen relevante Security-Vorfälle melden. Sind sie dazu nicht in der Lage oder lassen sie die Meldefrist verstreichen, drohen Bußgelder. Davon unberührt werden viele Einzelmaßnahmen zusammengeführt, die Firmen bereits umsetzen. Dennoch ergeben sich für Unternehmen zentrale Aspekte, welche die NIS-2 betont und auf die Unternehmen besonders achten sollten.

1. System-Inventur

Betroffene Unternehmen müssen ihre Systeme vollständig inventarisieren und Assets managen. So können sie Cyber-Risiken verlässlicher handhaben. Doch kennen Firmen ihre Unternehmenswerte? Und sind diese vor Missbrauch oder Diebstahl geschützt? Eine umfassende Bestandsaufnahme ist also der erste Schritt.

2. System-Monitoring

Unternehmen müssen Angriffe erkennen können und ein Vorgehen für die Reaktion auf einen Angriff definieren. Unternehmen werden früher oder später Opfer eines Cyber-Angriffs. Sie benötigen darum Systeme zur Angriffserkennung (SzA). So können sie einen drohenden Angriff frühzeitig erkennen und angemessen darauf reagieren. Zudem braucht es weitere Maßnahmen wie Pentesting, Security Audits, Log Monitoring und Compliance Monitoring.

3. Schadenserkennung

Unternehmen müssen Schwachstellen identifizieren, bewerten, priorisieren und beheben. Darum ist Schwachstellenmanagement ebenso in den Kernprozessen von Unternehmen zu verankern wie das Patch Management. Ein typisches Problem: Ein Unternehmen mit komplexer IT-Systemlandschaft setzt für das Schwachstellenmanagement auf lokale Excel-Listen. Weil es aufgrund der Menge an Schwachstellen den Überblick verliert, dringen Hacker in die Unternehmens-IT ein. Das gilt es zu vermeiden.

4. Sensibilisierung

Unternehmen benötigen zentrale Richtlinien und müssen Mitarbeitende und Geschäftsführung für Cyber-Gefahren sensibilisieren. Zudem ist neben Identity und Access Management auch Incident Management Pflicht. Ungünstige Szenarien wären, wenn Mitarbeitende unsichere Passwörter verwenden und etwa E-Mail-Konten in der Cloud nicht wirklich gesichert sind. Zugleich dürfen sie womöglich auf Geschäfts-Software zugreifen, ohne sich mit einem zweiten Faktor zu authentifizieren. Ein Cyberangreifer dringt dann über gehackte E-Mail-Konten in die Unternehmens-IT ein und breitet sich immer weiter aus. Sensibilisierung ist unverzichtbar, aber Richtlinien verankern diese verbindlich für alle Beteiligten: Mitarbeitende müssen den Umgang mit sensiblen Daten beherrschen. Es braucht Regeln für den Zugriff auf diese Daten. Und es muss überprüfbar sein, ob sie fehlerhaft sind.

5. Transparenz

Unternehmen müssen ihre Systeme mithilfe von Tools für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) sowie Security Information and Event Management (SIEM) überwachen und bezüglich ihrer Sicherheitsrisiken bewerten. Das Problem: Unternehmen wissen häufig nicht, welche Systeme ihre Mitarbeitenden einsetzen. Diese unbekannten oder vergessenen Tools sind im Scope nicht erfasst und werden darum weder auf Schwachstellen gescannt noch gepatcht. Daneben entstehen ungewollte Abhängigkeiten, weil das Personal unautorisierte Systeme nutzt, um wichtige Prozesse zu managen.

6. Notfallpläne

Unternehmen müssen mit vorab definierten Response-Maßnahmen im Angriffsfall unmittelbar reagieren können. Sie sind dazu verpflichtet, sicherheitsrelevante Vorfälle in einem bestimmten Zeitfenster zu melden – einschließlich Zwischen- und Abschlussmeldungen. Diese Meldewege müssen vorbereitet, bekannt und implementiert sein. Sensible Assets gilt es speziell abzusichern. Zudem müssen Unternehmen belastbare Vorkehrungen für Notfälle und bestimmte Szenarien treffen: Notfallplanung, Notfallmanagement und Pläne für die Wiederherstellung des Geschäftsbetriebs sind Pflicht. So ist beispielsweise auszuschließen, dass hochsensible Daten auf mobilen Geräten der Mitarbeitenden existieren, sodass unbefugte Dritte bei Verlust oder Diebstahl bequem Zugang zu den Daten erhalten und das Unternehmen so Opfer von Hackerangriffen oder Erpressungen wird.

7. Kommunikationswege

Es sind Verhaltensanweisungen für das Personal vorzubereiten und zu kommunizieren. Über Änderungen ist jederzeit zu informieren. Interaktive (Online-)Schulungen dienen dem Zweck, die Belegschaft zu trainieren und ihr Wissen regelmäßig aufzufrischen. Es braucht abgestimmte Kommunikations- und Notfallpläne, die allen zugänglich sind. Zudem sind notwendige Änderungen sorgfältig vorzubereiten, zu bewerten, mit risikominimierenden Maßnahmen zu unterlegen und zu dokumentieren. Und natürlich müssen sich im Notfall alle entsprechend verhalten. Hat ein Security-Dienstleister für ein Unternehmen belastbare Notfallpläne ausgearbeitet, doch die Firma bespricht diese Strategien nicht mit dem Personal, kommt es bei einer Cyber-Attacke schnell zu Panik oder unbedachten Handlungen, die das Problem unter Umständen verschärfen.

8. Supply-Chain-Risiken

Es gilt, Supply-Chain-Risiken ganzheitlich abzufragen und wirkungsvoll zu verwalten. Hierfür sollten Unternehmen auf branchenspezifische, bewährte Best Practices setzen. Für Geschäftsgebäude wie für die Unternehmenssysteme gilt: Lieferanten, Partner und andere Betriebsfremde, die Zugang haben oder auf Applikationen zugreifen, sind ins Risikomanagement zu integrieren. Im Bereich IT sind zum einen nur gesicherte IT-Systeme bereitzustellen, zum anderen ist sicherzustellen, dass Externe selbst nicht zum Sicherheitsrisiko werden. Darum sind Zero Trust und Multi-Faktor-Authentifizierung unverzichtbar.

Fazit

Vor dem Hintergrund dieser acht Handlungsfelder müssen Unternehmen

rechtssicher beurteilen, inwieweit sie von den NIS-2-Vorgaben betroffen sind,
sich einen Überblick verschaffen, welche Maßnahmen bereits umgesetzt sind,
die Umsetzung der Maßnahmen konsequent priorisieren,
die finanziellen und personellen Aufwendungen bestimmen,
die Umsetzbarkeit der Maßnahmen unter Einbeziehung interner und externer Ressourcen sicherstellen,
Rollen und Verantwortlichkeiten einschließlich Kommunikation unter Einbeziehung interner und externer Ressourcen definieren und
getroffene Maßnahmen und Regelungen ausführlich dokumentieren.

Für einen adäquaten Schutz ist zu erörtern, welche Risiken es gibt, welche Bereiche besonders gefährdet sind und wie diese sich bestmöglich schützen lassen. So setzen Unternehmen die NIS-2 zuverlässig um.

Thematik: Hardware und Infrastruktur, Markt, Trends, Technik, Technik (tec)

arvato Systems Digital GmbH

Zur Firmenwebsite

News

Bild: ©metamorworks/stock.adobe.com

Cybersicherheit

All for One Group beteiligt sich an BrightFlare

Die All for One Group, ein IT-, Consulting- und Service-Provider aus Filderstadt, beteiligt sich an dem österreichischen Cybersecurity-Spezialisten BrightFlare.

Weiterlesen: All for One Group beteiligt sich an BrightFlare
Bild: Heitec AG/ A+K

Intralogistik-Portfolio erweitert

Heitec übernimmt Artschwager + Kohl

Artschwager + Kohl Software ist seit Januar 2026 Teil der Heitec-Gruppe.

Weiterlesen: Heitec übernimmt Artschwager + Kohl
Bild: ©enzozo/stock.adobe.com

Google-Report zur Münchner Sicherheitskonferenz

Wenn KI-Modelle zum Angriffsziel werden

Zur Münchner Sicherheitskonferenz (13. bis 15. Februar) hat die Google Threat Intelligence Group (GTIG) einen Bericht veröffentlicht, mit dem die Verfasser die Debatte um KI-gestützte Bedrohungen auf eine operative Ebene ziehen.

Weiterlesen: Wenn KI-Modelle zum Angriffsziel werden
Bild: Hiscox Europe Underwriting Limited

Hiscox-Umfrage von Statista:

Mehr IT-Dienstleister erleben Vorwürfe wegen Schlechtleistung

Gegen zwei Drittel der IT-Dienstleister wurden im vergangenen Jahr seitens ihrer Auftraggeber Vorwürfe wegen angeblicher Schlechtleistung erhoben.

Weiterlesen: Mehr IT-Dienstleister erleben Vorwürfe wegen Schlechtleistung
Bild: ForeScout Technologies, Inc.

Dirk Decker übernimmt

Forescout ernennt Regional Director für Zentraleuropa

Forescout Technologies, ein Spezialist für Cybersicherheit, hat die Ernennung von Dirk Decker (Bild) zum Regional Director für Zentraleuropa bekanntgegeben.

Weiterlesen: Forescout ernennt Regional Director für Zentraleuropa
Bild: ©Kamran-Studio/stock.adobe.com

IBM X-Force Threat Index

KI hilft Angreifern, Schwachstellen schneller auszunutzen

In einem aktuellen Bericht weist IBM darauf hin, dass Cyberkriminelle grundlegende Sicherheitslücken in dramatisch höherem Maße ausnutzen.

Weiterlesen: KI hilft Angreifern, Schwachstellen schneller auszunutzen
Bild: Dragons, Inc.

Operative Störungen statt passive Erkundung

Wie Angreifer industrielle Steuerungssysteme ins Visier nehmen

Dragos, Cybersicherheitsspezialist für OT-Umgebungen, analysiert in einem Bericht aktuelle Cyberbedrohungen für industrielle und kritische Infrastrukturen.

Weiterlesen: Wie Angreifer industrielle Steuerungssysteme ins Visier nehmen
Bild: Neura Robotics

Gemeinsames Projekt der TU München und Neura Robotics

Ein Lernzentrum für Roboter entsteht

Das Munich Institute of Robotics and Machine Intelligence (MIRMI) der Technischen Universität München (TUM) und das Unternehmen Neura Robotics planen ein Forschungs- und Trainingszentrum für Robotik im wissenschaftlichen Bereich.

Weiterlesen: Ein Lernzentrum für Roboter entsteht
Bild: ©Nassorn/stock.adobe.com

Neues Gremium

Deutsche Gesellschaft für Robotik gegründet

Mit der Deutschen Gesellschaft für Robotik e.V. hat sich im März 2026 eine neue gemeinnützige Fachgesellschaft gegründet, die die Förderung von Wissenschaft, Forschung und Bildung im Bereich der Robotik zum Ziel hat.

Weiterlesen: Deutsche Gesellschaft für Robotik gegründet
Bild: ©greenbutterfly/stock.adobe.com

Was ist eigentlich was?

Ein kurzer Blick auf CRA, EU-Maschinenverordnung und NIS-2

Gezielte Cyberangriffe auf Anlagen und Maschinen sind längst Realität. Mit CRA, NIS2 und der neuen EU-Maschinenverordnung reagiert der Gesetzgeber nicht nur mit klaren Empfehlungen, sondern auch mit konkreten Meldepflichten, Vorgaben und Sanktionen. NTT Data fasst zusammen, was hinter den drei Vorgaben steckt und welche Auswirkungen sie haben.

Weiterlesen: Ein kurzer Blick auf CRA, EU-Maschinenverordnung und NIS-2

Reihe Wissen Kompakt

ERP

Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
KI Künstliche Intelligenz

Immer mehr Anbieter von Maschinen, Automatisierungstechnik und Industriesoftware integrieren künstliche Intelligenz in ihre Produkte. Das ganze Potenzial spielen selbstlernende Systeme aber erst aus, wenn sie passgenau auf ihren Einsatz in Fertigung und Büro zugeschnitten wurden. Über beide Möglichkeiten, als Fertiger die Vorzüge von industrieller KI zu nutzen, geht es im regelmäßig aktualisierten Themenheft Künstliche Intelligenz.
IIoT Industrial Internet of Things

Das Internet of Things verändert Produktwelten und die Vernetzung in der Fertigung gleichermaßen. Entstehende Ökosysteme laden zur einer neuen Form der Zusammenarbeit ein. Die Spezialausgabe IoT Wissen Kompakt informiert über die Technologie, Projektierung und Anbieter für die eigene Applikation, in- und außerhalb der Fabrik.
MES Manufacturing Execution Systems

Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.

Partner-Netzwerke

CtrlX-Partner

Hersteller von Automatisierungstechnik fügen eigene und von Partnern beigesteuerte IT- und Automatisierungskomponenten zunehmend zu Ökosystemen zusammen. CtrlX Automation von Bosch Rexroth ist mit über 100 Partnern eines der größten an Markt. Mit dem Portfolio lassen sich Automatisierungssysteme modular zusammenstellen und in die IT-Schicht integrieren.
Microsoft-Partner

Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Mitarbeiterproduktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.
SAP-Partner

Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP-Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.